使用PrepareStatement接口预编译SQL语句,防止SQL注入攻击

package com.usc.demo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;
/*
 * java程序实现用户登录,用户名和密码,数据库检查
 * 防止注入攻击
 * Statement接口实现类,防止执行SQL语句,返回结果集
 * 有一个子接口PreparedStatement(SQL语句预编译存储,多次高效执行SQl)
 * PreparedStatement的实现类在数据库的驱动中,如何获得接口的实现类
 * 
 * 是Connection数据库连接对象的方法
 * PreparedStatement prepareStatement(String sql)  
 */
public class CopyOfJDBCDemo3{
	public static void main(String[] args) throws Exception{
		//注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		//获取连接对象
		String url = "jdbc:mysql://localhost:3306/mybase";
		String username = "root";
		String password ="";
		Connection con = DriverManager.getConnection(url,username,password);

		//键入用户名和密码
		Scanner sc = new Scanner(System.in);
		String user = sc.nextLine();
		String pass = sc.nextLine();
		
		//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,否则登录失败
		String sql = "SELECT * FROM users WHERE username=? AND PASSWORD = ?";
		//调用connection接口的方法prepareStatement,获取PrepareStatement接口实现类
		PreparedStatement pst = con.prepareStatement(sql);
		//调用pst对象的set方法,设置问号占位符上的参数
		//第几个参数 ,
		pst.setObject(1, user);
		pst.setObject(2,pass);
		
		ResultSet rs = pst.executeQuery();
		//System.out.println(rs.next());
		while(rs.next()){
			System.out.println(rs.getObject("id")+ "  "+rs.getObject("username"));
		}
		rs.close();
		pst.close();
		con.close();
		
	}
}

你可能感兴趣的:(使用PrepareStatement接口预编译SQL语句,防止SQL注入攻击)